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1. De opdracht 


a. Op 6 augustus heb ik van de Minister van Financiën en de Raad van Commissarissen van 
de N.V. Nederlandse Spoorwegen de opdracht gekregen om een toets uit te voeren op het 
onderzoek van Alvarez & Marsal naar de werking van interne procedures, risicobeheersing 
en compliance bij NS, in het onderzoek aangeduid als het systeem van Governance, Risk 
en Compliance (hierna afgekort als GRC). 

b. Mijn opdracht bestaat uit drie elementen: 

Een verificatie van de diepgang en grondigheid van het onderzoek van Alvarez & 
Marsal: 'NS weerbaar naar de toekomst'; 

Een beoordeling of de bevindingen en aanbevelingen logisch en objectief volgen uit 
de via het onderzoek verzamelde feiten; 

Een bestuurlijke beoordeling van de praktische toepasbaarheid van de bevindingen 
en aanbevelingen van het onderzoek. 

c. Ik wil de Minister en de Raad van Commissarissen van NS bedanken voor hun vertrouwen 
in mij als verificator van het onderzoek van Alvarez & Marsal (AM). 

d. Ik wil verder het team van AM bedanken voor de plezierige en open samenwerking in de 
afgelopen maanden en met name Michel Grummel RA, managing director van AM, die 
projectleider was voor deze opdracht. 

e. Ik verklaar voorts dat ik mij in mijn oordeelsvorming over de opdrachtvragen alleen heb 
laten leiden door de inzichten die ikzelf op basis van het onderzoek heb verworven. 

f. Deze rapportage is als volgt ingedeeld. In paragraaf 2 beschrijf ik de werkwijze die ik heb 
gevolgd bij de uitvoering van mijn opdracht. In paragraaf 3 geef ik mijn oordeel over de 
drie elementen van de taakopdracht. Ik sluit af met enkele slotopmerkingen. 


2 . De werkwijze 

a. Het werk van verificator kan op twee manieren worden uitgevoerd. In de eerste 
benadering ontvangt de externe verificator het rapport ter beoordeling na afronding door 
de onderzoekers. Voordeel van deze aanpak is dat het rapport volledig onbevangen wordt 
gelezen. Nadeel ervan is dat met eventuele kritiekpunten niet zoveel kan worden gedaan 
omdat het onderzoek vaak al is afgerond, dan wel dat aanpassing tot aanzienlijke 
vertraging leidt. Op verzoek van de beide opdrachtgevers is in dit onderzoek voor een 
benadering gekozen die de verificator in staat stelt tijdens het onderzoek zoveel mogelijk 
mee te kijken en daardoor en route al opmerkingen kan maken die in het onderzoek nog 
meegenomen kunnen worden. 

b. Deze aanpak impliceert dat er sinds half augustus bijna wekelijks contact is geweest met 
AM over de voortgang van het onderzoek. Ik heb alle documenten bestudeerd die AM in 
het kader van dit onderzoek heeft opgesteld en ik heb met de projectleider frequent 
gesproken over de voortgang van het onderzoek, met name over de punten die nog 
verder uitgezocht moesten worden. Dit maakte het ook mogelijk om de opdrachtgevers 
geregeld te informeren over de stand van zaken. 
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3. Het oordeel 


a. Het eerste element van de opdracht is om de diepgang en grondigheid van het onderzoek 
te beoordelen. Naar mijn oordeel heeft AM het onderzoek met de vereiste diepgang en 
grondigheid uitgevoerd. Ik baseer dit oordeel op de volgende argumenten: 

Voor dit onderzoek heeft AM vier deelonderzoeken uitgevoerd: 

1. Er zijn in totaal 2400 documenten bestudeerd die betrekking hebben op het 
GRC-systeem van NS. 

2. Er zijn 160 interviews afgenomen van gemiddeld circa 1,5 uur in alle lagen en 
delen van de NS-organisatie die in totaal 33 duizend medewerkers telt om meer 
te weten te komen over de werking van het GRC-systeem bij NS in de praktijk 
van alledag. 

3. Er is op basis van een representatieve steekproef bij 4100 medewerkers van NS 
een enquête uitgezet met 80 vragen die alle aspecten van GRC afdekten. De 
respons van 1350 medewerkers (in vakantietijd) is ruim voldoende om 
betrouwbare uitspraken te kunnen doen voor de gehele NS-organisatie. 

4. De notulen van de RvB/Exco-vergaderingen zijn bestudeerd van de afgelopen 
drie jaren om te beoordelen hoe met GRC is omgegaan door RvB en Exco. 

5. Tot slot zijn de onderzoeken van Hacket (2012) en Oliver Wyman (2014) over 
het systeem van risicobeheersing van NS bestudeerd. 

Voorts is bij NS per 25 augustus 2015 een meldpunt ingericht om medewerkers in 
het kader van dit onderzoek in de gelegenheid te stellen melding te maken van 
onregelmatigheden en van niet-integer gedrag. 

Op basis van deze onderzoeksactiviteiten is het naar mijn oordeel mogelijk om tot 
evenwichtige en empirisch gefundeerde uitspraken te komen over de opzet en 
werking van het governance-systeem en het systeem van risicobeheersing bij NS als 
ook over de mate van compliance. 

Het onderzoek van AM heeft dus voldoende diepgang en is grondig uitgevoerd. 

b. Het tweede element betreft een beoordeling of de bevindingen en aanbevelingen van AM 
logisch en objectief volgen uit het verrichte onderzoek. Mijn conclusie is dat dit inderdaad 
het geval is. Wat is de onderbouwing van die conclusie? 

De kernbevinding van het AM-onderzoek is dat het GR C-framework van NS op dit 
moment niet zodanig is ingericht en werkt dat -zoals het in de taakopdracht staat- 
'onregelmatigheden en niet-integer gedrag zoveel mogelijk worden voorkomen en 
anderzijds goed gedrag zoveel mogelijk wordt bevorderd'. Daarnaast zijn er 
aanbevelingen op een achttal specifieke thema's: audit, het biedingsproces (bij 
concessies), vertrouwelijke informatie, inkoop, human resource management, 
screening, vastgoed en privacy. 

Hoe heeft AM de hoofdconclusie bereikt? Een goed werkend GRC-systeem vraagt om 
heldere regels en procedures op het terrein van integriteit (bijvoorbeeld: 
gedragscode, klokkenluiders, fraudebeleid, etc); de juiste 'tone at the top' met de 
juiste voorbeeldfunctie vanuit de top; een helder risicomanagement op dit terrein 
met heldere kpi's en reguliere monitoring en waar nodig bijsturing door RvB/Exco. 

Het AM-onderzoek laat zien dat er op veel terreinen met integriteitsaspecten geen 
eenduidige regels zijn; dat er op het hoogste niveau nauwelijks over wordt 
gesproken; dat er geen kpi's zijn gedefinieerd op dit terrein; dat integriteit niet als 
strategisch risico werd gezien en dat er geen monitoring plaats vindt. In deze situatie 
is pas verandering gekomen nadat de Qbuzz-affaire aan het licht was gekomen in het 
voorjaar. Als gevolg hiervan heeft NS ook geen goed zicht op de mate van 
compliance. 

De conclusie luidt dus dat GRC als systeem op dit moment in alle opzichten tekort 
schiet. 

Ook voor de acht specifieke thema's worden op dezelfde empirische wijze van 
analyseren grotere of kleinere tekortkomingen vastgesteld. 
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c. Het derde element betreft de praktische toepasbaarheid van de aanbevelingen van het 
onderzoek. 

De aanbevelingen vallen in twee delen uiteen. Aanbevelingen over de hoofdpunten 
van het onderzoek: Governance, Risk en Compliance en een groot aantal 
aanbevelingen die volgen uit de gedetailleerde analyse van specifieke onderwerpen 
waar GRC een belangrijke rol speelt. 

De beoordelingen van de opzet en werking van GRC op deze terreinen leiden voor elk 
van deze thema's tot de identificatie van heldere verbeterpunten en praktisch 
uitvoerbare aanbevelingen. 

Voorbeelden daarvan zijn het bouwen van Chinese waiis om tijdens biedingen 
onrechtmatige deling van informatie tussen het biedingsteam en andere 
medewerkers te voorkomen; invoering van een integraal screeningsbeleid om te 
borgen dat iedereen die gescreend moet worden ook daadwerkelijk gescreend wordt; 
strikte naleving van het inhuurbeleid voor externe medewerkers en introductie van 
een Gifts & Hospitaiity register. 

Ook de adviezen op de hoofdthema's zijn praktisch uitvoerbaar. In het rapport is op 
de pagina's 7-8 kort aangegeven hoe uitvoering van de aanbevelingen tot 
verbeteringen en tot meer beheersing van integriteitsrisico's gaat leiden. 

Mijn conclusie is dat het onderzoek tot aanbevelingen leidt die door NS praktisch 
uitvoerbaar zijn. 

d. Samenvattend is mijn conclusie dat het onderzoek van AM op de drie toetspunten aan de 
maat is. Het onderzoek heeft voldoende diepgang, is grondig uitgevoerd, leidt tot logische 
conclusies en daarop gebaseerde praktisch uitvoerbare aanbevelingen, die door NS in een 
SMART geformuleerd verbeterplan nader kunnen worden uitgewerkt. 
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4. Slotopmerkingen 


a. Gegeven de aanleiding van het onderzoek is het vanzelfsprekend dat het hoofdaccent in 
dit onderzoek op integriteitsrisico's lag. De bevinding dat het risicomanagement bij NS 
nog onvoldoende is, heeft vanzelfsprekend een veel bredere betekenis voor de NS- 
organisatie. In het licht van de operationele, financiële, strategische en Europese 
uitdagingen waar NS de komende jaren voor staat, is het van groot belang dat NS het 
risicomanagement in de hele organisatie op korte termijn op orde brengt. 

b. In het verlengde hiervan benadruk ik ook de aanbeveling van AM om de bestuurlijke 
afstand die RvB/Exco tot nu toe bewaart ten opzichte van Abellio te heroverwegen. 
Volgend jaar maakt Abellio qua omzet circa de helft van de NS Groep uit. De agenda en 
de besprekingen van de RvB/Exco-vergaderingen zouden dit beter moeten weerspiegelen. 

c. Dit onderzoek is ingesteld naar aanleiding van de Qbuzz-affaire in het voorjaar van 2015. 
Naar aanleiding van die zaak willen de Minister van Financiën en de RvC van NS graag 
weten of er een gerede kans is op meer Qbuzz-achtige affaires dan wel dat door goed 
bestuur en goede risicobeheersing integriteitsrisico's door RvB/Exco van NS zo goed 
mogelijk worden beheerst. 

Zoals hiervoor aangegeven luidt de hoofdconclusie van het AM-onderzoek dat het 
GRC-systeem bij NS op dit moment qua opzet en werking niet zodanig functioneert 
dat onregelmatigheden en niet-integer gedrag zoveel mogelijk worden voorkomen. 

NS loopt daarmee meer risico's op dit vlak dan van een onderneming die voor 100% 
in bezit is van de staat, verwacht en geëist mag worden. Zonder dat we dat risico 
overigens precies kunnen kwantificeren. 

Hieruit volgt niet zonder meer dat het risico op meer Qbuzz-achtige affaires heel 
groot is. In de eerste plaats blijkt dit niet uit de andere onderzoeken die recent zijn 
ingesteld, zoals van Jones Day en daaronder liggende rapporten van Jones Day, 
Houthoff, Bird & Bird en Osborne Clarke. In de tweede plaats hebben het speciaal 
voor dit onderzoek ingerichte meldpunt en de interviews geen aanwijzing opgeleverd 
voor vergelijkbare onregelmatigheden elders bij NS. Verder laat de enquête een open 
werkcultuur zien waarin men elkaar durft aan te spreken op ongewenst gedrag. En 
last but not least hebben in de interviews medewerkers aangegeven dat zij ondanks 
onheldere of verouderde regels en onduidelijkheid bij wie zij terecht kunnen over 
onregelmatigheden hun eigen morele kompas volgen en blijkt uit de enquête een 
open werkcultuur. 

d. Verbetering van het GRC-systeem is een uitdaging voor NS. NS staat echter zoals 
hiervoor aangegeven voor meer uitdagingen: operationele, financiële, strategische en 
Europese uitdagingen. Hoe verhoudt de GRC-uitdaging zich tot andere uitdagingen? 
Zonder te beschikken over grote inhoudelijke expertise op die andere terreinen, ben ik 
van mening dat verbetering van GRC bij NS, mits goed aangestuurd vanuit de RvB/Exco 
en met name door de nieuwe bestuurder een redelijk te overziene opgave zal zijn. Wat er 
moet gebeuren en hoe het moet gebeuren, is immers duidelijk. Bovendien is er bij NS 
bereidheid om het beeld van NS als integere organisatie zo snel mogelijk te herstellen. 


André de Jong 

ABDTOPConsult 

8 januari 2016 
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